El agregador DEX es víctima de una explotación de $16.8 millones en SwapNet tras el bypass de aprobación

• Anuncio -

El agregador de intercambios descentralizados Matcha Meta ha confirmado un incidente de seguridad vinculado a su integración con SwapNet, que resultó en una pérdida estimada de 16,8 millones de dólares.

La brecha fue señalada por primera vez por la firma de seguridad blockchain PeckShield, con un análisis técnico adicional proporcionado posteriormente por CertiK.

Qué salió mal

Según los hallazgos compartidos por investigadores de seguridad, la explotación afectó específicamente a los usuarios que habían desactivado la función de “Aprobación Única” de Matcha Meta. Al optar por no usarla, esos usuarios otorgaron permisos persistentes directamente al contrato del enrutador SwapNet, creando una superficie de ataque que fue posteriormente aprovechada.

#PeckShieldAlert Matcha Meta ha reportado una brecha de seguridad que involucra SwapNet. Los usuarios que optaron por no usar “Aprobaciones Únicas” están en riesgo.

Hasta ahora, se han drenado aproximadamente 16,8 millones de dólares en cripto.

En #Base, el atacante intercambió aproximadamente 10,5 millones de dólares en $USDC por unos 3,655 $ETH y ha comenzado a transferir fondos a… https://t.co/QOyV4IU3P3 pic.twitter.com/6OOJd9cvyF

— PeckShieldAlert (@PeckShieldAlert) 26 de enero de 2026

CertiK identificó la causa raíz como una vulnerabilidad de “llamada arbitraria” en el contrato SwapNet. Este fallo permitió a un atacante iniciar transferencias no autorizadas desde billeteras que previamente habían aprobado el enrutador, eludiendo así las salvaguardas normales.

Movimiento de fondos y alcance

La actividad en la cadena muestra que el atacante intercambió aproximadamente 10,5 millones de dólares en USDC en Base por unos 3,655 ETH, antes de transferir los fondos a Ethereum. El movimiento entre cadenas parece diseñado para complicar el rastreo y los esfuerzos de recuperación.

Es importante destacar que el incidente no afectó a todos los usuarios de Matcha. La exposición estuvo limitada a las billeteras que desactivaron manualmente las aprobaciones únicas y otorgaron permisos directos a los contratos de SwapNet.

                Bitcoin supera al oro y la plata en encuesta de inversión de 100,000 dólares

Medidas de respuesta de emergencia

En respuesta al exploit, Matcha Meta ha tomado varias medidas inmediatas:

• Se han suspendido los contratos de SwapNet para evitar mayores pérdidas.
• Se ha instado a los usuarios a revocar las aprobaciones existentes, especialmente para el contrato del enrutador SwapNet
  (0x616000e384Ef1C2B52f5f3A88D57a3B64F23757e).
• La plataforma ha eliminado la opción de desactivar aprobaciones únicas, con el objetivo de reducir riesgos similares en el futuro.

El incidente resalta las compensaciones de seguridad asociadas con las aprobaciones persistentes de contratos y refuerza la importancia de revisar regularmente los permisos, especialmente al interactuar con agregadores y contratos de enrutamiento.